Los investigadores de seguridad cibern\u00e9tica han descubierto una vulnerabilidad de seguridad que expone a los autom\u00f3viles de Honda, Nissan, Infiniti y Acura a ataques remotos a trav\u00e9s de un servicio de veh\u00edculo conectado proporcionado por SiriusXM.<\/p>\n
El problema podr\u00eda explotarse para desbloquear, encender, ubicar y tocar la bocina de cualquier autom\u00f3vil de manera no autorizada con solo conocer el n\u00famero de identificaci\u00f3n del veh\u00edculo (VIN) del veh\u00edculo, dijo el investigador Sam Curry en un comunicado. Hilo de Twitter<\/a> la semana pasada.<\/p>\n Los servicios de veh\u00edculos conectados (CV) de SiriusXM son dijo<\/a> para ser utilizado por m\u00e1s de 10 millones de veh\u00edculos en Am\u00e9rica del Norte, incluidos Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru y Toyota.<\/p>\n el sistema es dise\u00f1ado<\/a> para permitir una amplia gama de servicios de seguridad, protecci\u00f3n y comodidad, como notificaci\u00f3n autom\u00e1tica de accidentes, asistencia en carretera mejorada, desbloqueo remoto de puertas, arranque remoto del motor, asistencia para la recuperaci\u00f3n de veh\u00edculos robados, navegaci\u00f3n paso a paso e integraci\u00f3n con dispositivos dom\u00e9sticos inteligentes, entre otros.<\/p>\n La vulnerabilidad se relaciona con una falla de autorizaci\u00f3n en un programa telem\u00e1tico que hizo posible recuperar los datos personales de una v\u00edctima, as\u00ed como ejecutar comandos en los veh\u00edculos que env\u00edan una solicitud HTTP especialmente dise\u00f1ada que contiene el n\u00famero VIN a un punto final de SiriusXM (“telematics.net”). .<\/p>\n En un desarrollo relacionado, Curry tambi\u00e9n detallado<\/a> una vulnerabilidad separada que afecta a los autos Hyundai y Genesis que podr\u00eda utilizarse para controlar de forma remota las cerraduras, los motores, los faros y los ba\u00fales de los veh\u00edculos fabricados despu\u00e9s de 2012 mediante el uso de las direcciones de correo electr\u00f3nico registradas.<\/p>\n A trav\u00e9s de la ingenier\u00eda inversa de las aplicaciones MyHyundai y MyGenesis e inspeccionando el tr\u00e1fico de API, los investigadores encontraron una manera de evitar el paso de validaci\u00f3n de correo electr\u00f3nico y tomar el control de las funciones de un autom\u00f3vil objetivo de forma remota.<\/p>\n “Al agregar un car\u00e1cter CRLF<\/a> al final de una direcci\u00f3n de correo electr\u00f3nico de la v\u00edctima ya existente durante el registro, pudimos crear una cuenta que omiti\u00f3 el JWT y la verificaci\u00f3n de comparaci\u00f3n de par\u00e1metros de correo electr\u00f3nico”, explic\u00f3 Curry.<\/p>\n Desde entonces, SiriuxXM y Hyundai han implementado parches para corregir las fallas.<\/p>\n Los hallazgos llegan cuando los Laboratorios Nacionales Sandia resumido<\/a> un numero de fallas conocidas<\/a> en la infraestructura que alimenta la carga de veh\u00edculos el\u00e9ctricos (EV), que podr\u00eda explotarse para robar datos de tarjetas de cr\u00e9dito, alterar los precios e incluso secuestrar una red completa de cargadores de EV.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/Los-investigadores-detallan-la-vulnerabilidad-entre-inquilinos-de-AppSync-en.jpg\")
<\/a><\/center><\/div>\n![\"Hackear](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/12\/La-vulnerabilidad-de-SiriusXM-permite-a-los-piratas-informaticos-desbloquear.gif\" "\\"Hackear")
<\/div>\n